Úvodná » ako » Oracle nemôže zabezpečiť Java Plug-in, tak prečo je stále povolený štandardne?

    Oracle nemôže zabezpečiť Java Plug-in, tak prečo je stále povolený štandardne?

    Spoločnosť Java bola zodpovedná za 91 percent všetkých počítačových kompromisov v roku 2013. Väčšina ľudí má nielen povolený plug-in prehliadača Java, ale používa zastaranú, zraniteľnú verziu. Hej, Oracle - je čas, aby ste predvolene zablokovali tento doplnok.

    Oracle vie, že situácia je katastrofa. Opustili bezpečnostné karantény Java plug-in, ktoré boli pôvodne navrhnuté tak, aby vás chránili pred škodlivými apletmi Java. Java applety na webe získajú úplný prístup do vášho systému s predvolenými nastaveniami.

    Plugin Java prehliadača je úplná katastrofa

    Obhajcovia Java majú tendenciu si sťažovať, kedykoľvek stránky, ako je naša, píšu, že Java je extrémne neistá. "Toto je len plug-in prehliadača," hovoria - uznávajú, aké rozbité je. Ale tento neistý plug-in prehliadača je v predvolenom nastavení povolený v každej jednotlivej inštalácii Java. Štatistiky hovoria samy za seba. Dokonca aj tu v službe How-To Geek má 95% našich návštevníkov, ktorí nemajú mobilný telefón, povolený doplnok Java. A my sme webová stránka, ktorá stále informuje našich čitateľov o odinštalovaní Java alebo aspoň o vypnutí doplnku.

    Celosvetové štúdie naďalej ukazujú, že väčšina počítačov s nainštalovaným jazykom Java má nainštalovaný plug-in pre prehliadač Java dostupný pre zlomyseľné webové stránky. V roku 2013 štúdia spoločnosti Websense Security Labs ukázala, že 80 percent počítačov malo zastarané verzie Java. Dokonca aj tie najcharakteristickejší štúdie sú desivé - majú tendenciu tvrdiť, že viac ako 50 percent Java plug-inov je zastaraných.

    V roku 2014 výročná bezpečnostná správa Cisco uviedla, že 91% všetkých útokov v roku 2013 bolo proti Javu. Oracle sa dokonca pokúša využiť tento problém spojením strašného nástroja Ask Toolbar a iného junkware s aktualizáciami Java - zostať klasický, Oracle.

    Oracle Gave Up na sandboxingu Java Plug-in

    Plug-in Java spúšťa Java program - alebo "Java applet" - vložený na webovú stránku podobne ako funguje Adobe Flash. Pretože Java je komplexný jazyk používaný pre všetko od desktopových aplikácií až po serverový softvér, plug-in bol pôvodne určený na spustenie týchto programov Java v bezpečnom karanténe. To by im zabránilo v tom, aby robili do vášho systému škaredé veci, aj keď sa to pokúsili.

    To je teória. V praxi existuje zdanlivo nekonečný prúd zraniteľných miest, ktoré umožňujú aplikáciám Java applety uniknúť z pieskoviska a behom vášho systému.

    Oracle si uvedomuje, že pieskovisko je teraz v podstate zlomené, takže pieskovisko je teraz v podstate mŕtve. Opustili to. V predvolenom nastavení už nebude Java používať "nepodpísané" applety. Spúšťanie nepodpísaných appletov by nemalo byť problémom, ak je karanténa zabezpečenia dôveryhodná - preto nie je všeobecne problém spustiť akýkoľvek obsah Adobe Flash, ktorý nájdete na webe. Dokonca aj v prípade, že sú v aplikácii Flash zraniteľnosti, sú opravené a spoločnosť Adobe sa nevzdáva pri práci s nástrojmi Flash.

    V predvolenom nastavení bude Java načítať iba podpísané applety. Znie to dobre, ako dobré zlepšenie bezpečnosti. Je tu však vážny dôsledok. Keď je podpísaný applet Java, považuje sa to za dôveryhodný a nepoužíva karanténu. Ako to varovná správa Java hovorí:

    "Táto aplikácia bude fungovať s neobmedzeným prístupom, ktorý môže ohroziť váš počítač a osobné informácie."

    Dokonca aj vlastná verzia aplikácie Oracle verifikácia verzie Java - jednoduchý malý applet, ktorý spúšťa Java, aby skontroloval inštalovanú verziu a informuje, či potrebujete aktualizovať - ​​vyžaduje tento úplný prístup k systému. To je úplne šialené.

    Inými slovami, Java sa skutočne vzdal na pieskovisku. Štandardne môžete buď spustiť aplet Java alebo ho spustiť s plným prístupom do vášho systému. Neexistuje žiadny spôsob, ako používať karanténu, pokiaľ nestlačíte nastavenia zabezpečenia Java. Pieskovisko je tak nedôveryhodné, že každý bit kódu Java, s ktorým narazíte online, potrebuje plný prístup k vášmu systému. Môžete tiež jednoducho prevziať program Java a spustiť ho namiesto toho, aby ste sa spoliehali na doplnok prehliadača, ktorý neponúka dodatočné zabezpečenie, ktoré bolo pôvodne určené na poskytovanie.

    Ako jeden vývojár Java vysvetlil: "Oracle úmyselne zabíja bezpečnostné karantény Java pod zámienkou zvýšenia bezpečnosti."

    Webové prehliadače ju zakazujú

    Našťastie webové prehliadače vstupujú do riešenia neúspechu spoločnosti Oracle. Dokonca aj v prípade, že máte nainštalovaný a povolený doplnok pre prehliadač Java, prehliadač Chrome a Firefox nebudú v predvolenom nastavení načítavať obsah Java. Na obsah Java používajú "kliknutie na prehrávanie".

    Aplikácia Internet Explorer načíta automaticky obsah Java. Internet Explorer sa trochu zlepšil - v auguste 2014 začal blokovať zastarané ovládacie prvky ActiveX spolu s "aktualizáciou Windows 8.1 augusta" (podobne ako Windows 8.1 Update 2). Chrome a Firefox to robí oveľa dlhšie , Program Internet Explorer je za ostatnými prehliadačmi - znova.

    Ako zakázať modul Java Plug-in

    Každý, kto potrebuje nainštalovanú Java, by mal prinajmenšom vypnúť plug-in z ovládacieho panela java. S najnovšími verziami jazyka Java môžete klepnutím na tlačidlo Windows otvoriť ponuku Štart alebo Štart, zadajte "Java" a potom kliknite na odkaz "Konfigurovať jazyk Java". Na karte Zabezpečenie zrušte začiarknutie políčka "Povoliť obsah Java v prehliadači".

    Dokonca aj po vypnutí doplnku Minecraft a všetky ostatné desktopové aplikácie, ktoré závisia od jazyka Java, budú fungovať správne. Tým sa zablokujú iba Java applety vložené na webových stránkach.


    Áno, Java applety stále existujú vo voľnej prírode. Pravdepodobne ich nájdete najčastejšie na interných stránkach, kde má niektorá spoločnosť starú aplikáciu napísanú ako applet Java. Ale applety Java sú mŕtvymi technológiami a z internetového portálu spotrebiteľov. Mali by konkurovať Flashu, ale stratili. Aj keď potrebujete jazyk Java, pravdepodobne nepotrebujete doplnok.

    Príležitostná spoločnosť alebo používateľ, ktorý potrebuje plug-in prehliadača Java, by mal prejsť do Ovládacieho panela Java a zvoliť ho. Plug-in by mal byť považovaný za staršiu možnosť kompatibility.